Debian セキュリティ勧告
DLA-64-1 curl -- LTS セキュリティ更新
- 報告日時:
- 2014-09-26
- 影響を受けるパッケージ:
- curl
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-3613.
- 詳細:
-
受け取った HTTP クッキーの解析時に部分的なIP アドレスのドメイン名を適切に検出、拒否しないために、libcurl に誤ったサイトにクッキーを送信させる、 あるいは任意のサイトに他のサイトのクッキーをセットさせることを許します。
Debian 6
Squeeze
では、この問題は curl バージョン 7.21.0-2.1+squeeze9 で修正されています。